SSL-Zertifikat für die DSM-Anmeldung

michaelvdb

Benutzer
Mitglied seit
05. Jul 2012
Beiträge
55
Punkte für Reaktionen
5
Punkte
8
Hallo zusammen,

vielleicht übersehe ich das Offensichtliche, aber wie kann ich für die Anmeldung auf meiner Box via DSM 7 ein SSL-Zertifikat erstellen?

Ich melde mich mit dem Browser im DSM an, gehe also bspw. auf https://meinebox:5001 und bekomme immer eine Fehlermeldung wegen des Zertifikates (NET::ERR_CERT_AUTHORITY_INVALID). Kann es sein, dass das Zertifikat nur gilt, wenn die Box im Browser mit synology angesprochen wird? Ein Zertifikat von LetsEncrypt kann ich vermutlich für "meinebox" nicht beantragen, ist ja keine Domain...

Wie geht das dann?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
erfolgt der Zugriff via https auschließlich von intern bzw. von extern dann via VPN?
 

michaelvdb

Benutzer
Mitglied seit
05. Jul 2012
Beiträge
55
Punkte für Reaktionen
5
Punkte
8
Im Regelfall schon. Kann sein, dass ich an einzelnen Tagen (z.B. Urlaub) QuickConnect aktiviere, aber normalerweise ist die Box nur lokal erreichbar.
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
Mich würde auch eine Antwort zu dem Thema interessieren.

Beim Aufruf des DSM über https://diskststion:5001 wird das Synology-Zertifikat als ungültig angezeigt.

Muss ich auch ein Let's Encrypt-Zertifikat erstellen?
Nur wohin löse ich das auf?
...und welche "Anwendung" ordne ich dann dem Zertifikat zu?
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.802
Punkte für Reaktionen
179
Punkte
129
Ich frage mich immer wie sehr kann man seinem eigenen Netzwerk nicht vertrauen dass man die Übertragung in der direkten Verbindung DS-PC verschlüsseln muss, so dass keine 3te Person sich dazwischen hängen kann. Nutzt ihr alle D-Lan oder ist die Wahrscheinlichkeit echt so hoch dass jemand mit einem Laptop zu euch kommt und sich in der Besenkammer versteckt um sich dann in euer Lan Kabel physisch zu hacken.
 

michaelvdb

Benutzer
Mitglied seit
05. Jul 2012
Beiträge
55
Punkte für Reaktionen
5
Punkte
8
wie sehr kann man seinem eigenen Netzwerk nicht vertrauen

Das eine ist das Thema Sicherheit: jemand der sich einklinkt und alles mitschnorchelt ist ja nur ein szenario. was ist mit einem Rechner, der kompromitiert wurde und alles mitliest und den Traffic durchsucht... Oder der kompromitiert wurde und sich für die Box ausgibt, um die Logindaten abzugreifen...

Das andere ist der Nervfaktor: hier gibt es mehrere Mac / PC / Smartphones mit jeweils mehreren Browsern. Da nervt die Fehlermeldung mit den Bestätigungen der Ausnahmen.
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.802
Punkte für Reaktionen
179
Punkte
129
Bei dem was ich hier von 90% der Leute lese bei Fragen zum Zertifikat macht ein Zertifikat eh keinen Sinn. Denn wie du es indirekt ja schreibst, solange keine (nervige) Meldung kommt ist für die alles gut. Ruf doch einfach die Seiten per http auf dann hast du die Meldungen auch nicht.
 
  • Haha
Reaktionen: Ulfhednir

IICARUS

Benutzer
Mitglied seit
16. Dez 2021
Beiträge
26
Punkte für Reaktionen
5
Punkte
9
Einfach mal hier lesen, denn es handelt sich um selbst signierte Zertifikate, die nur als unsicher eingestuft werden, weil der Browser diese nicht abgleichen kann.
https://wiki.natenom.de/sammelsurium/selbst-signierte-zertifikate

Für LetsEncrypt brauchst eine öffentlich erreichbare Domain und DNS (Statische-IP zur Domain).
Wird aber schwierig, wenn die DS nicht öffentlich erreichbar gemacht werden soll.
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.802
Punkte für Reaktionen
179
Punkte
129
Wenn man es auf die Spitze treiben will kann man auch das hier machen https://www.libe.net/XCA aber wie geschrieben der Sinn hinter den Zertifikaten greift bei den meisten eh nicht.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.098
Punkte für Reaktionen
577
Punkte
194
Webbrowser verlangen bei HTTPS immer ein öffentlich ausgestelltes Zertifikat. Deswegen werden selbst erstellte Zertifikate als unsicher eingestuft, weil eben jeder sowas zertifizieren kann. Dieses Verhalten ist absolut korrekt und gut so!
Du brauchst also entweder eine eigene Domain, über welche dann ein öffentliches Zertifikat ausgestellt werden kann oder du exportierst dein Syno Zertifikat und importierst es in alle Geräte, die auf die Syno zugreifen sollen, also auch in deinen PC.
dann klappts auch so.
Das funktioniert aber nur mit Domainnamen, nie mit IPs!
 

michaelvdb

Benutzer
Mitglied seit
05. Jul 2012
Beiträge
55
Punkte für Reaktionen
5
Punkte
8
oder du exportierst dein Syno Zertifikat

wie mache ich das? bei den Zertifikaten in Systemsteuerung > Sicherheit > Zertifikat finde ich nur ein Zertifikat für "synology", aber nicht für "meinebox"... Woher bekomme ich das Zertifikat mit dem korrekten Namen der Box?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.098
Punkte für Reaktionen
577
Punkte
194
exportiere das Syno Zertifikat und ordne dieses falls das nicht schon der Fall ist den Apps zu die du nutzen willst.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat